セキュリティ方針
セキュリティ方針は、ISO/IEC 27001、およびISO/IEC 27002、ISO/IEC27017に基づきます。
1. 情報セキュリティの目的
当プラットフォームは、利用者の健康情報を適切に保護し、安全かつ信頼性の高いサービスを提供いたします。
2. 情報セキュリティ管理体制
情報セキュリティ管理責任者を任命し、適切な管理体制を構築するとともに、定期的な評価と改善を行います。
3. アクセス管理
最小権限の原則に基づき、アクセス権限を管理し、多要素認証(MFA)を導入することで、不正アクセスを防止いたします。
4. データ保護および暗号化
機密情報はAES-256による暗号化を行い、データ通信にはTLS1.2以上を使用し、情報の機密性を確保いたします。
5. 脆弱性管理
定期的な脆弱性診断およびセキュアコーディングの実践により、システムの安全性を向上させます。
6. ログ管理および監視
アクセスログを適切に記録・保管し、セキュリティインシデントの兆候を監視することで、不正行為の早期発見を行います。
7. インシデント対応
インシデント対応計画を策定し、迅速な検知・対応・復旧を行う体制を整備いたします。
8. 物理的セキュリティ
データセンターやサーバールームへのアクセス管理を徹底し、自然災害や盗難からの保護措置を講じます。
9. クラウドセキュリティ
ISO/IEC 27017 に基づき、クラウド環境のセキュリティ対策を実施し、責任分界を明確にした適切な管理を行います。
10. 個人情報保護と法令遵守
個人情報保護法、GDPR、HIPAA などの法令を遵守し、利用者のプライバシーを保護いたします。
11. 教育および意識向上
従業員に対し、情報セキュリティに関する定期的な研修を実施し、意識の向上を図ります。
12. 事業継続計画(BCP)と災害復旧(DR)
予期せぬ障害や災害に備え、事業継続計画(BCP)および災害復旧計画(DRP)を策定し、定期的なテストを実施いたします。
13. 定期的な評価と改善
情報セキュリティの監査を定期的に実施し、リスクアセスメントを継続的に行い、方針の見直しと改善を行います。